Contrôler l'accès aux fichiers
Cette protection permet de contrôler les accès aux fichiers réalisés par des applications données. Les fichiers sont identifiés dans les règles par un chemin, un flux de données alternatif, un propriétaire et/ou un type de volume.
EXEMPLE
Vous pouvez protéger tous vos fichiers Microsoft Office et autres fichiers sensibles afin qu'ils puissent être modifiés uniquement par des applications légitimes comme l'explorateur Windows, la suite Office, les outils Windows, etc. Les autres applications n'auront accès à ces fichiers qu'en lecture seule.

Vous devez au préalable avoir créé un identifiant d'applications pour les applications autorisées à accéder aux fichiers et pour celles que vous souhaitez bloquer. Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.

- Choisissez le menu Politiques et cliquez sur votre politique.
- Sélectionnez un jeu de règles.
- Cliquez sur l'onglet Ressources ACL > Fichier.
- Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
- Cliquez sur Ajouter une règle (Fichiers).
Une nouvelle ligne s'affiche. - Dans la zone de gauche, cliquez sur l'icône
pour afficher la fenêtre de création de l'identifiant du ou des fichiers pour lesquels vous souhaitez contrôler l'accès.
- Saisissez le nom de l'identifiant.
- Saisissez un chemin de fichier, une extension de fichier ou bien un fichier. Ce champ peut contenir les caractères génériques "?" et "*".
Les chemins complets commençant par une lettre (i.e., E:\Data\Backup) ne sont pas supportés si le Type de volume est distant ou amovible.
Stormshield recommande fortement l'utilisation des racines de chemins EsaRoots fournies par SES Evolution à la place des lettres de lecteurs (i.e., C:\...). En effet, ces lettres peuvent différer d'un poste de travail à l'autre.NOTE
Vous pouvez saisir un chemin comprenant une lettre de lecteur local (disque dur, SSD) dans ce champ. Cependant, si un utilisateur modifie la lettre d'un lecteur ou en ajoute un, vous devez redémarrer le poste ou modifier la politique appliquée par l'agent pour que le lecteur soit détecté. - Choisissez le type de volume sur lequel se trouve le fichier ou le type de fichier.
- Dans les paramètres avancés, vous avez la possibilité de préciser le compte Windows propriétaire des fichiers, à condition que ceux-ci soient situés sur un volume local. Vous pouvez également entrer directement un identifiant de sécurité (SID) pour indiquer un compte Windows personnel. Cette option permet d'autoriser ou de bloquer l'accès à des fichiers détenus par certains comptes.
- Vous avez également la possibilité de spécifier un flux de données alternatif. Le flux de données alternatif (Alternate Data Stream) d'un fichier contient des métadonnées et permet entre autres de connaître la provenance du fichier. Par exemple, spécifier le flux de données alternatif "zone.identifier" permet d'établir des règles pour les fichiers provenant d'Internet. Le flux de données alternatif pourrait également être un vecteur d'attaque en abritant du code malveillant. Ce champ peut contenir les caractères génériques "?" et "*".
- Cliquez sur Valider pour fermer la fenêtre de création de l'identifiant. Vous pouvez survoler le nom de l'identifiant pour afficher le récapitulatif des paramètres.
- Dans la zone Comportement par défaut, choisissez le comportement pour chaque action pour une règle de protection :
- Autoriser pour autoriser par défaut l'action,
- Bloquer pour bloquer par défaut l'action,
- Bloquer et interrompre pour bloquer par défaut l'action et arrêter le processus à l'origine de l'action.
- Cliquez sur l'icône + Ajouter un comportement spécifique et choisissez la ou les ressources à exclure du comportement par défaut. Pour chaque cas, sélectionnez le comportement.
EXEMPLE
Bloquez par défaut la modification ou suppression de fichiers Office et autres fichiers sensibles. Autorisez ces actions uniquement pour les applications légitimes.
-
Dans le bandeau supérieur de la règle, vous pouvez :
- Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité. - Indiquer si la règle doit générer un incident lorsqu'elle s'applique.
- Sélectionner les paramètres des logs qui seront émis par cette règle.
- Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'une notification soit affichée sur l'agent et/ou qu'un script soit exécuté.
- Saisir une description pour expliquer l'objectif de la règle.
- Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
- Chaque règle affiche sur sa gauche son numéro de rang. Si besoin, réagencez l'ordre de vos règles en cliquant sur les flèches en dessous et au-dessus du numéro.
- Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.